Annuaire urbanisme | Stats de trafic| Soumettre un site | Contact

 

La cybersécurité dans les municipalités : enjeux 2020-2030

Les services en sécurité informatique se développent à vitesse grande V dans les administrations municipales. En effet, plus que jamais les villes foisonnent de données confidentielles et exploitables par les hackers à la recherche de gains rapides. C'est pourquoi de plus en plus de celles-ci adoptent désormais des mesures et une façon de faire pour mieux se protéger.

La cybersécurité dans les villes au Québec

- Article de Sonia Nadeau, 28 Février 2020, Ville de Québec / Lévis.

La compromission des données n'expose plus que les banques ou commerces en ligne qui "sauvegardent" des tonnes de numéros de cartes de crédit, cartes de débit, accès à des comptes Paypal, etc. Au fil des ans depuis le tournant des années 2000, les municipalités ont été transformées en de véritables incubateurs de données (gestion du salaire des employés, comptes bancaires, système de facturation, paiement des fournisseurs via transferts bancaires, contrats des sous-traitants, permis et urbanisme, serveurs internet et intranet, accès de sauvegarde de données cloud, comptes de taxes municipales par milliers, etc.) et il est de plus en plus difficile pour elles d'assurer une protection de données TI parfaitement étanche sans l'aide d'un expert en cybersécurité interne ou encore du soutien extérieur d'une agence offrant des services de sécurité informatique de type institutionnel.

Sécurité informatique pour le serveur de la ville

Le défi de sécuriser les données informatiques peut s'avérer une tâche difficile pour les municipalités de petite et moyenne taille car d'une part elles ne possèdent qu'un petit nombre d'employés affectés à leur département informatique (dans certains cas elles n'ont même qu'un seul employé s'occupant de tout!), et de l'autre leurs ressources sont responsables d'un panel hétéroclite qui va de la gestion du site web aux réseaux sociaux en passant par le système téléphone, le wi-fi, la maintenance du ou des serveurs, etc. La cybersécurité finit par se situer plus loin parmi les priorités et il devient plus facile pour les cyberpirates de repérer des failles et de les exploiter. Et souvent même à l'insu des employés et gestionnaires municipaux (ainsi que des résidents). Il est donc difficile d'établir une véritable stratégie d'ensemble pour établir un périmètre de sécurisation. Quels sont les points de fuite précisément?

#1 : Le matériel informatique prêté aux employés : De moins en moins d'employés municipaux possède un ordinateur fixe au bureau et davantage ont un laptop qui les rend mobiles. Ils peuvent ainsi travailler de chez eux durant les jours de tempête ou encore parce que cela est prévu dans le cadre de leur emploi. Or, ceux-ci se connectent alors à des points d'accès moins sécurisés (à la maison par exemple, ou dans un café, à l'aéroport, etc.). Cette façon de faire requiert alors l'installation de dispositifs supplémentaires sur les portables, mais aussi leur maintenance à distance. Cela peut s'avérer compliqué. Spécialement quand la cybersurveillance n'est pas assurée 24/24h par des spécialistes en sécurité informatique qui soient bien humains mais plutôt des bots et des logiciels. Ainsi, des membres du personnel travaillant tard le soir, la nuit, ou le week-end ont entre les mains des ordinateurs qui représentent de vraies bombes à retardement pour leur organisation. Dans beaucoup de cas, le rançongiciel ou le cheval de Troie utilisé est installé sur un ordinateur ou téléphone intelligent appartenant à la ville elle-même.

#2 : Le manque de sensibilisation et/ou désintérêt du personnel : Faut de directives, de formation et d'encadrement, les employés municipaux ont tendance à croire qu'une sorte d'autorité supérieure invisible veille à la sécurisation de leur ordinateur et téléphone, les sauvegardes de données, les transmissions et communications. Ainsi, beaucoup ne vont pas rapporter l'incident s'ils soupçonnent un hameçonnage, une tentative d'intrusion ou un vol de données. D'autres vont apporter des modifications à leur ordinateur ou téléphone portable de manière à le personnaliser, améliorer sa rapidité ou encore le rendre plus fonctionnel. Ils agissent ainsi en ignorant les risques et conséquences que cela peut poser à leur employeur et concitoyens. Même si apporter des modifications à leur appareil les force à bricoler pour contourner les "anti-installateurs", l'antivirus et le firewall, ils croient de bonne foi que cela ne compromet pas la cybersécurité.

#3 : L'absence de plan de crise et/ou de réaction : Lorsqu'une intrusion se produit et que celle-ci ne laisse planer AUCUN DOUTE sur son existence (car elle est par exemple suivie d'une demande de rançon accompagnée de preuves de vol de données), il peut paraître plus simple d'ignorer le problème et de ne pas y répondre du tout. Voire même de dissimuler le tout aux autres. Cela est d'autant plus tentant que les hackers ne vont généralement pas "briser" les systèmes, ni même les ralentir. En cas d'absence de réponse, ils se paieront plutôt en pillant des sommes d'argent à partir de comptes marchands ou en usurpant des identités. La situation ira ainsi en empirant jusqu'à ce que la municipalité embauche une entreprise de cybersécurité qui viendra non seulement colmater les brèches, mettre en place un plan de crise, ainsi que mieux éduquer les gestionnaires et employés. Ces externes pourront aussi mesurer l'ampleur du risque que représente l'intrusion récente et donner l'heure juste aux décideurs de la ville. Il faut aussi savoir que contrairement aux entreprises privées, il peut être extrêmement difficile de négocier avec des cybercriminels car il s'agit d'argent public. Payer une rançon sous forme de bitcoins ou d'une obscure cryptomonnaie peut s'avérer très difficile à faire sur le plan comptable et légal.

#4 : Les carences en matière d'imputabilité : Très rares sont les administrateurs ou employés tenus responsables de leurs négligences. Souvent, même le spécialiste cybersécurité parvient à identifier précisément des fautifs à l'origine de la violation des systèmes, ils ont pour instruction de concentrer leurs efforts pour colmater les brèches (sur le plan technique). D'autres conditions peuvent entrer en jeu aussi, comme par exemple la crainte des gestionnaires de devoir entrer en conflit avec le syndicat, un collègue décideur, ou un élu. Ce phénomène fait en sorte qu'une culture organisationnelle déficiente en matière de sécurité informatique perdura durant des années avant qu'un plan soit enfin mis en place pour responsabiliser toutes les chaînes de commandement et de travail. Comment y remédier? Plusieurs villes commencent à inscrire des pénalités en matière de cybersécurité dans leur convention d'emploi qui comprennent des mesures comme l'avertissement, la réprimande écrite, la suspension avec salaire, la suspension sans salaire, le congédiement, et même une garantie de poursuites au criminel. En revanche, d'autres adoptes des pratiques de valorisation auprès de leurs cadres et ressources humaines faisant preuve de diligence contre le phishing, le social engineering, les virus, etc. en les récompensant de différentes façons.

#5 : Le personnel informatique débordé par d'autres tâches : Nombreuses sont les municipalités au Québec qui procèdent à l'embauche d'une personne en charge, entre autres choses, de la cybersécurité, pour ensuite l'ensevelir sous d'autres tâches quotidiennes et toujours plus urgentes que celles de la veille. Cela peut aller de la réparation d'un formulaire sur le site web à l'installation d'un nouveau logiciel sur l'ordinateur du directeur général, à la production de supports d'archive, le streaming de vidéos sur Youtube, le reboot du scanner, la négociation d'achat de logiciels auprès de partenaires, etc. Il n'est pas si rare même qu'un expert en sécurité informatique passe une journée à acheter du papier pour l'imprimante dans une chaîne de magasins de bureautique bien connus. Il est important de savoir établir la hiérarchie des tâches et de s'assurer que la participation d'un employé aux activités quotidiennes de l'Hôtel de Ville ne compromettent pas au final la sécurité même des données informatiques tant de l'organisation municipale que celle de vos commerçants, fournisseurs et concitoyens.

#6 : Les coupures budgétaires par rapport à la cybersécurité : Pas facile pour les municipalités de notre époque d'équilibrer le budget chaque année. Il est donc tentant pour le conseil et la trésorerie de couper ou reporter un élément qui apparaît comme non-urgent. Surtout quand une absence de support-conseil avancé en sécurité informatique ne permet pas aux dirigeants comment économiser de l'argent. Ainsi, de petites localités québécoises comptant 2000 à 5000 habitants seront estomaquée de réaliser qu'ils devront payer 100.000$ pour espérer sécuriser leur parc informatique et supports de protection de données. Or, il existe des dizaines d'entreprises en cybersécurité au Québec qui, moyennant un forfait mensuel dont le coût peut tourner autour de 800$/mois, peuvent non seulement vous "louer" les licences (antivirus, firewall, certificats ssl, systèmes d'encryption de calibre militaire, etc) et assurer une quantité d'heures de travail déjà prévues dans le forfait, mais aussi vous offrir une garantie d'assurance pouvant atteindre 10 millions $. Cela est d'autant plus intéressant que beaucoup d'assureurs directs et offrant de la protection auprès des acteurs institutionnels n'offrent qu'une couverture aléatoire et/ou mineure pour votre ville.

---

Un mot concernant les compagnies d'assurances : Certes, les assureurs offrent généralement une certaine couverture contre les dégâts et pertes financières occasionnées par le hacking et les attaques cybercriminelles. Le problème, c'est que vous brisez votre part du contrat si vous échouez à démontrer que vous avez les victimes d'une cyberattaque en dépit du déploiment de contre-mesures à la fois solides, sophistiquées et rigoureuses. En revanche, une agence de cybersécurité vous protégera contre les pertes encourues et que, par le fait même, leur modèle d'affaires (i.e. source de revenus) repose sur la performance étanche de leurs services. Une agence qui échoue à protéger ses clients disparaîtra ainsi rapidement du paysage commercial et il est recommandé d'opter pour une société possédant une bonne réputation et active depuis au moins 10 ans.

Expert Cybersécurité 418 872-4744 : ARS Solutions est une entreprise de sécurité informatique établie à Québec depuis plus de 30 ans et proposant des services de protection de données et communications informatisées, sauvegarde de données, gestion TI, scan dark web, et plus encore.

Besoin d'un second avis? Nous aidons les municipalités du Québec à économiser avec notre service de consultation qui prend en charge toutes les étapes de votre planification TI, y compris l'achat des équipements informatiques, les logiciels, l'infrastructure de protection, etc. Laissons-nous vous accompagner.

Consultant Cybersécurité Québec

 


 
 Liens publicitaires


Copyright Urbanium.ca 2006-2020 Tous droits réservés.